Cybersécurité
devenez le référent de votre entreprise! - Modules optionnels inclus -

Critères de la sécurité

• Fondamentaux : disponibilité, intégrité, confidentialité, traçabilité/ prouvabilité...
• Complémentaires : authenticité, non-répudiation...
• Cybersécurité, Cybercriminalité, Intelligence économique… : les définitions
• Lien avec la politique de cybersécurité

Sécurité des systèmes d’information : quels enjeux ?

• Menaces, vulnérabilités : état des lieux, veille
• Cybercriminalité : quelle organisation ?
• Ingénierie sociale : notions-clés

Structure du système d'information

• Poste client, applications métiers et  transverses, infrastructure d’application, infrastructure (physique, matériel, réseaux)
• Comment établir la cartographie des SI de son entreprise ?
• Focus sur le patrimoine et le système informationnel de votre ordinateur
• Comment construire un réseau de partage de documents sécurisé ?

Les fondamentaux de l’authentification utilisateur

• Méthodes d’identification utilisateur : découverte
• Identifier les bonnes pratiques en matière de mots de passe

Typologie des risques de cybersécurité

• Systémiques (système de management), opérationnels (ISO 27005...), conformité/compliance (ISO 19600…)
• Valeur des biens, biens sensibles et types, impacts internes et externes d’un sinistre (financier, image, réputation, social, économique...)
• Propriétés de sécurité : les grands principes

Référentiels systémiques

• Les bases d’un système (système informatique, système de management, sécurité de l’information vs sécurité du système d’information...)
• Les fondamentaux : ISO 27001, RGPD/ISO 27701 (vie privée), ISO 29100 (cadre privée), ISO 20000-1 (gestion service), ISO 22301 (continuité)...
• Veille normative, légale, réglementaire
• Les acteurs : responsable sécurité de l’information, délégué à la protection des données, responsable système d’information, responsable système de management, responsable conformité…
• Les institutions de référence en matière de cybersécurité : quelles missions ? Qui contacter et dans quel but ?

Référentiels pour gérer la sécurité informatique

• ANSSI (42 mesures du guide d’hygiène informatique), CNIL, CERT-FR
• Veille technique, technologique, métier...
• Focus sur les notions et enjeux incontournables : guide d’hygiène informatique

Les 7 niveaux de la cybersécurité

• Confiance informatique
• Confiance de conformité
• Sécurité de l’information
• Sécurité économique
• Intelligence économique
• Mise à niveau des logiciels
• Nomadisme et BYOD (Bring Your Own Devices ) : quels risques ?

Module « Navigation web »

• Téléchargement de logiciels en ligne : menaces cachées
• Comment reconnaître les sites malveillants : signes extérieurs
• Comment télécharger des logiciels en ligne en toute sécurité ?
• Comment télécharger des fichiers en ligne en toute sécurité ?
• Comment installer correctement des extensions de navigateur ?
• Fiche récap’ : éviter les sites malveillants, reconnaître le « site officiel »

Module « E-mail »

• Quels dangers menacent ma messagerie électronique ?
• Que dois-je faire en cas de piratage de ma messagerie électronique ?
• À quoi dois-je prêter attention lorsqu'il m'est demandé de saisir le mot de passe de ma messagerie électronique ?
• Quels types de données est-il déconseillé d'envoyer par e-mail ?
• Quels e-mails sont dangereux et comment les détecter ?
• Fiche récap : protéger sa messagerie électronique des cybermenaces

Module « « Mots de passe et comptes » 

• Pourquoi ne nous soucions-nous pas de la sécurité de nos mots de passe et quels sont les types d'erreurs que nous commettons ?
• Pouvez-vous communiquer vos mots de passe à quelqu'un d'autre ?
• Comment conserver mes mots de passe en toute sécurité ?
• Que faire si quelqu'un découvre mon mot de passe ?
• Pourquoi ai-je besoin d'un mot de passe complexe et comment en créer un ?
• Pourquoi ne puis-je pas utiliser le même mot de passe pour mes comptes professionnels et personnels ?
• Fiche récap : gestion sécurisée de vos mots de passe : les grands principes

Module « Sécurité du PC »

• Quelles sont les menaces pour mon ordinateur ?
• Pourquoi faut-il protéger son compte par un mot de passe et verrouiller son écran ?
• Qu'est-ce qu'un logiciel antivirus et devriez-vous en utiliser un ?
• Pourquoi dois-je mettre à jour régulièrement le système d'exploitation et le navigateur de mon ordinateur ?
• Logiciels malveillants : les pires ennemis de votre ordinateur
• Quel est le moyen le plus sûr d'installer un logiciel sur votre ordinateur ?
• Que dois-je faire si j'ai besoin d'installer un logiciel sur mon ordinateur de travail ?
• Fiche récap' : les actions incontournables pour sécuriser votre PC

Module « Protection des données confidentielles »

• Que sont les informations confidentielles et où se trouvent-elles ?
• Comment savoir si une information est confidentielle ?
• Comment stocker correctement des informations confidentielles : règles générales
• Comment envoyer des informations confidentielles en toute sécurité ?
• Comment trouver une fuite d'informations confidentielles et comment agir par la suite ?
• Fiche récap' : qu'est-ce qu'une donnée confidentielle? Comment les stocker, les envoyer de manière sécurisée?

Quizz final : 20 questions de type QCM

Gouvernance et stratégie de sécurité

• Politique et objectifs de sécurité de l’information et de confiance numérique : déclinaison de la politique et règles associées, déclinaison des objectifs
• Les 4 niveaux de planification : stratégique, systémique, opérationnelle, plan d’actions
• Le système de management de confiance numérique : intégration avec le management de l’organisme, intégration avec les systèmes de management existants
• Pilotage, surveillance, monitoring du SI et du système de management
• Revue de gouvernance de la confiance numérique
• Revue d’actualité : les recommandations des autorités de référence (ANSSI, CNIL, CLUSIF…)
• Panorama métiers de la cybersécurité : infogérance, juriste…

Les risques opérationnels : cybersécurité vs cybercriminalité

• Comprendre les risques, les différentes menaces et vulnérabilités
• Comprendre les différentes techniques d'attaque
• Évaluation des cyber risques, du niveau de sécurité : méthodologie
• Gestion de crise IT/sécurité de l'information : organisation, communication, processus de gestion de crise SSI
• Cybersécurité : quels messages ? quelle communication ?
• E-reputation, usages des réseaux sociaux : identifier les bonnes pratiques en communication externe
• Gestion des incidents de sécurité (ITIL ou ISO 27035)
• Référent cybersécurité : comment tenir à jour ses connaissances ?

Focus sur les dispositifs de protection

• Sensibiliser en interne sur la cybersécurité : découvrir les bonnes pratiques afin de responsabiliser, diffuser les usages en interne
• Sécurité globale : supervision/monitoring/surveillance, journalisation/SIEM (Security Information and Event Management), centre d’opérations de sécurité (SOC), bastion...
• Sécurité technique : réseaux (cartographie et sécurisation), gestion des accès, chiffrement... 
• Sécurité physique : locaux, accès, équipements de protection, camera, badge...
• Équipements de prévention : groupe électrogène, onduleurs...
• Sécurité des informations : diffusion et échange, archivage, stockage et sauvegarde, fin de vie

Sécurisation des projets - Security by design

• Sécurité et gestion de projet (ISO 27002) : organisation de la sécurité en avant-vente, avant-projet, lancement, mise en œuvre, clôture…
• Conception et gestion des services métiers (ISO 20000-1)
• Prise en compte de la sécurité dans les projets et chantiers techniques

Découvrir les solutions techniques et technologiques de cybersécurité

• Sécurité physique (datacenter, accès physique...)
• Sécurité du réseau (réseau physique, Pare-feu....)
• Sécurité des serveurs (accès physique, processeurs...)
• Sécurité de l'Infrastructure de virtualisation (hyperviseur, conteners...)
• Sécurité de l'Infrastructure applicative (annuaire, base de données...)
• Solutions d'authentification/identification (clés, chiffrement...)
• Solution de supervision/monitoring/surveillance/détection/prévention/métrologie
• Solution de journalisation
• Solutions de continuité/reprise d’activité
• Sécurité des applications OnPremise/progiciel/développées/héritées/libres/SaaS…
• Solutions de sécurisation/gestion du poste client : gestion de parc, mise à jour de sécurité...
• ITSM, gestion de configuration, gestion des processus IT
• Tendances et perspectives

Protection du patrimoine immatériel de votre entreprise

• Patrimoine immatériel : les notions-clés
• Quelles obligations en la matière ?

Protections et contrats juridiques et recours associés

• Vis à vis des salariés (charte, contrat règlement intérieur)
• Vis à vis des client (avenant, clause, assurance...)
• Vis à vis des sous-traitants (hébergeur, SaaS, fournisseurs des solutions de sécurité)
• Vis à vis des tiers (logiciels libres/gratuits/sous licence)
• Sécurité impliquant des tiers (salariés, partenaires, sous-traitant) : aspects juridiques et lien avec le RGPD, actions de sensibilisation et sanction, propriété intellectuelle...

Souscrire à une cyber-assurance : points de vigilance et état des lieux

• Infrastructures non conformes : que risque-t-on en cas de cyberattaque ?

Focus sur des scénarios de cyberattaques : quels retours d’expériences en tirer ? 

Découvrir deux méthodes d’analyse des risques : Ebios, Mehari

• Quelle méthode pour quelle application ?
• Comment débuter leur mise en œuvre ?

Approfondir les grands principes de la Sécurité des Systèmes Informatiques (SSI)

• Bâtir une stratégie de sécurité : quelles priorités ? En fonction de quels besoins ?
• Identifier les différentes gestions de flux, l’importance du cloisonnement de réseau
• Développer sa politique de gestion des comptes, avec les accès utilisateurs en fonction des missions
• Mots de passe, mises à jour, procédures : quelle gestion ? Sous quelle responsabilité ?
• Comment mettre en œuvre un Plan de continuité d’activité (PCA) / Plan de reprise d’activité (PRA) & résilience de l’entreprise ?
• Gestion du matériel : déterminer sa notion de « fin de vie » pour votre entreprise ?
• Focus sur la gestion de crise cyberattaque : comment s’y préparer au mieux ?
   

Externalisation du SI, de quoi parle-t-on ?

• Découvrir les différentes formes d’externalisation, les contrats de services
• Cybersécurité et cloud : que peut-on en dire ?
• Sécuriser son externalisation : les points incontournables   
• Choisir et négocier son prestataire : sous quels critères ? Commet s’aider de guides (ANSSI…) existants ?

Sécuriser les aspects juridiques, contrats d’externalisation

• Quelles particularités juridiques ?
• Transfert de données… Identifier vos obligations
   

Sécuriser la gestion en interne des sites web

• Cybermenace et sites web : focus sur les principaux dangers
• Approche systémique de la cybersécurité : approfondissement des acquis de la formation n°2
• Serveurs, services, IGC (Infrastructure de Gestion des Clés), HTTPS : quelles configurations spécifiques ?
• Utiliser un CMS (Content Management System), développement web : pourquoi ? Quelles limites ?
• Focus sur la sécurisation d’une base de données, sur la gestion sécurisée des comptes utilisateurs, sessions
• Quelles sont vos obligations juridiques et réglementaires en matière de sécurité des sites web ?